Ransomware: Black Basta soll hinter dem Angriff auf Sixt stecken

Hinter einem Cyberangriff auf Sixt soll die neue Ransomwaregruppe Black Basta stecken, die in ihrem kurzen Bestehen bereits mehrere große Unternehmen angegriffen hat - darunter den Landmaschinenhersteller Fendt. Sicherheitsexperten und Polizeikräfte vermuten gar, dass es sich bei Black Basta um einen Nachfolger der berühmten Ransomwaregruppe Conti handelt.

Der Cyberangriff auf Sixt fand bereits Ende April statt. Anfang Mai gab das Unternehmen "IT-Unregelmäßigkeiten" bekannt und betonte, diese frühzeitig erkannt und entsprechende Gegenmaßnahmen eingeleitet zu haben. Dennoch führte der Angriff offensichtlich zu weitreichenden Beeinträchtigungen. So konnten manche Filialen nur noch Kreditkartenzahlungen annehmen oder Mietverträge manuell abwickeln.

Auch die Hotline war bis Mitte Mai nicht erreichbar. Laut dem Magazin Spiegel (Paywall) soll Sixt mittlerweile zumindest einen Teil der Probleme gelöst haben. Hinter den IT-Unregelmäßigkeiten steckt laut dem Magazin ein Angriff der Ransomwaregruppe Black Basta. Die Gruppe tritt laut dem Onlinemagazin Bleepingcomputer erst seit April auf. Auf Anfrage des Spiegels wollte sich Sixt nicht konkret zu einem Ransomwareangriff oder dem Umgang mit einer Lösegeldforderung äußern. Das Unternehmen betonte lediglich, dass es "natürlich Strafanzeige gestellt" habe.

Ermittlungen gegen den möglichen Conti-Nachfolger Black Basta

Laut dem bayerischen Landeskriminalamt und der Zentralstelle Cybercrime Bayern (ZCB), die die Ermittlungen führen, konnte Sixt die Ausfälle durch Backups in Grenzen halten. "Die betroffenen Systeme konnten nach den hier vorliegenden Informationen inzwischen durch Backups wiederhergestellt werden", erklärte das ZCB.

Ermittler aus Deutschland haben laut dem Spiegel die Ransomwaregruppe Black Basta im Visier. Diese soll neben Sixt auch Fendt angegriffen haben. Demnach gehen die Ermittler davon aus, dass die Ransomwaregruppe jeweils Lösegelder im Millionenbereich erpressen wolle. Zudem hätten die Ermittler den Verdacht, dass es sich bei Black Basta um eine Nachfolgeorganisation der Ransomwaregruppe Conti handle.

Die Sicherheitsfirma Malware Hunter Team sieht auffällige Überschneidungen zwischen den Vorgehensweisen. So würden Black Basta und Conti ähnlich kommunizieren und auch die Webseiten, auf denen die Gruppen mit Leaks von erbeuteten Daten drohen oder diese durchführen, gleichen sich demnach. Conti hatte sich zu Beginn des russischen Angriffes auf die Ukraine auf die Seite von Russland geschlagen.

Daraufhin hatte ein ukrainischer Sicherheitsforscher interne Chats der Ransomwaregruppe geleakt, die tiefe Einblicke in die Arbeitsweise der Gruppe gewähren. Neben einer unternehmensähnlichen Struktur und der schlechten Behandlung von Angestellten kamen auch Verbindungen zum russischen Staat zum Vorschein. Bei dem Leak wurde auch der Quellcode der Ransomware veröffentlicht, den die Hackergruppe NB65 für Angriffe auf russische Organisationen nutzte.

Conti selbst soll unter anderem auch für Angriffe auf hiesige Hersteller von Windkraftanlagen verantwortlich sein. Das Land Costa Rica rief nach einem Conti-Angriff mitsamt einer Lösegeldforderung über 10 Millionen US-Dollar kürzlich den Notstand aus. Conti veröffentlichte daraufhin 672 GByte an Daten. Danach wurde spekuliert, dass Conti einen Neustart mit mehreren Ransomwaregruppen plant. Eine davon könnte Black Basta sein.